rolandino 10 Geschrieben 13. Mai 2010 Melden Teilen Geschrieben 13. Mai 2010 Hallo zusammen. Wir haben auf unserem 1802 seit kurzem zwei ISPs (zwei ADSLs) für Lastverteilung eingerichtet. Funktioniert auch soweit, nur das VPN bekommen wir nicht mehr zum laufen. Haben schon diverse Anleitungen gewälzt und an den route-maps rum geschraubt, aber kommen irgendwie nicht auf die richtige Lösung... Am Dialer1 hängen Mailserver, usw. und VPN soll darüber laufen. Dialer2 ist für www, ftp und den Rest. Hier die Config: ! no ip source-route ! ! ip cef no ip bootp server ip domain name triple-synergy.de no ipv6 cef ! multilink bundle-name authenticated ! ! username ...... ! ip tcp synwait-time 10 ! class-map type inspect match-all sdm-nat-smtp-2 .... ! ! policy-map type inspect sdm-permit-icmpreply ... ! interface Loopback0 ip address 1.1.1.1 255.255.255.0 ! interface FastEthernet0 no ip address no ip redirects no ip unreachables no ip proxy-arp ip flow ingress duplex auto speed auto pppoe enable group global pppoe-client dial-pool-number 2 ! interface ATM0 no ip address no ip redirects no ip unreachables no ip proxy-arp ip flow ingress no atm ilmi-keepalive pvc 1/32 pppoe-client dial-pool-number 1 ! dsl operating-mode auto ! interface Virtual-Template1 type tunnel ip unnumbered Dialer1 zone-member security ezvpn-zone tunnel mode ipsec ipv4 tunnel protection ipsec profile SDM_Profile1 ! interface Vlan1 ip address 192.168.35.1 255.255.255.0 ip flow ingress ip nat inside ip virtual-reassembly zone-member security in-zone ip tcp adjust-mss 1412 ip policy route-map Inside-route ! interface Dialer1 ip address negotiated no ip unreachables no ip proxy-arp ip mtu 1492 ip nat outside ip virtual-reassembly zone-member security out-zone encapsulation ppp ip tcp adjust-mss 1452 dialer pool 1 dialer-group 1 no cdp enable ppp authentication chap pap callin .... ! interface Dialer0 no ip address shutdown ! interface Dialer2 .... ! ip forward-protocol nd ip route 0.0.0.0 0.0.0.0 Dialer1 ! ip http server ip http authentication local no ip http secure-server ip http timeout-policy idle 60 life 86400 requests 10000 ip dns server ip nat inside source static tcp 192.168.35.40 22 interface Dialer1 22 ip nat inside source static tcp 192.168.35.10 25 interface Dialer1 25 ip nat inside source list 151 interface Dialer1 overload ip nat inside source list 152 interface Dialer2 overload ! logging trap debugging access-list 1 remark SDM_ACL Category=18 access-list 1 permit 192.168.35.0 0.0.0.255 access-list 150 permit ip host 192.168.35.90 any access-list 150 permit ip host 192.168.35.91 any access-list 150 permit ip host 192.168.35.92 any access-list 150 permit ip host 192.168.35.93 any access-list 150 permit ip host 192.168.35.94 any access-list 150 permit ip host 192.168.35.95 any access-list 151 permit tcp 192.168.35.0 0.0.0.255 any eq smtp access-list 151 permit tcp 192.168.35.0 0.0.0.255 any eq pop3 access-list 151 permit tcp 192.168.35.0 0.0.0.255 any eq 995 access-list 151 permit tcp 192.168.35.0 0.0.0.255 any eq 143 access-list 151 permit tcp 192.168.35.0 0.0.0.255 any eq 993 access-list 151 permit icmp 192.168.35.0 0.0.0.255 any access-list 152 permit tcp 192.168.35.0 0.0.0.255 any access-list 152 permit udp 192.168.35.0 0.0.0.255 any dialer-list 1 protocol ip permit no cdp run ! route-map NoNat-Route permit 10 match ip address 150 set interface Loopback0 ! route-map Inside-route permit 20 match ip address 151 set interface Dialer1 ! route-map Inside-route permit 30 match ip address 152 set interface Dialer2 Hat jemand eine Idee? Danke schon mal... Rolandino Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 14. Mai 2010 Melden Teilen Geschrieben 14. Mai 2010 Du routest TCP und UDP generell ueber Dialer2? Das ist doc hmehr als Quatsch, oder? :) Wenn du die 30er entfernst geht alles? Zitieren Link zu diesem Kommentar
rolandino 10 Geschrieben 14. Mai 2010 Autor Melden Teilen Geschrieben 14. Mai 2010 Nein, wenn ich die permit 30 entferne, geht das VPN trotzdem nicht. Ich muss noch hinzufügen: Ich kann mich mit dem VPN-Client verbinden, allerdings nichts im VPN-LAN anpingen oder sonst was. Wenn ich die ip policy route-map im Interface Vlan1 entferne, dann geht's, aber dann ist der Dialer2 nicht mehr im Spiel und alles läuft wieder über den Dialer1. Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 14. Mai 2010 Melden Teilen Geschrieben 14. Mai 2010 Klar gehts nicht ... das VPN wird aufgebaut ueber Dialer1, den Traffic zum VPN-User wird aber ueber Dialer2 geroutet. Zitieren Link zu diesem Kommentar
rolandino 10 Geschrieben 14. Mai 2010 Autor Melden Teilen Geschrieben 14. Mai 2010 Und wie bekomme ich den Traffic über Dialer1? Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 14. Mai 2010 Melden Teilen Geschrieben 14. Mai 2010 Vertausch die ACLs in den Route MAPs, das muesste grob reichen ... Zitieren Link zu diesem Kommentar
rolandino 10 Geschrieben 18. Mai 2010 Autor Melden Teilen Geschrieben 18. Mai 2010 Wenn ich die ACLs vertausche, kann ich sobald per VPN-Client verbunden, im LAN Hosts anpingen (was vorher nicht ging), aber mehr auch nicht.... Zitieren Link zu diesem Kommentar
Otaku19 33 Geschrieben 19. Mai 2010 Melden Teilen Geschrieben 19. Mai 2010 liegt vielleicht an deiner zonebased FW ? was ist denn da so konfiguriert ? Zitieren Link zu diesem Kommentar
rolandino 10 Geschrieben 19. Mai 2010 Autor Melden Teilen Geschrieben 19. Mai 2010 Die FW war vorher (bei nur einem ISP / Dialer) exakt gleich konfiguriert. Da lief das VPN einwandfrei. Ich hab den beiden Dialern die security out-zone zugeordnet. ist das richtig? Oder muss ich für jeden Dialer eine eigene zone anlegen?? Zitieren Link zu diesem Kommentar
Otaku19 33 Geschrieben 19. Mai 2010 Melden Teilen Geschrieben 19. Mai 2010 kenn mich mit der zone-based firewall nicht aus, aber ich sehe zumidnest das du die configteile dazu nicht gepostet hast, somit wird dir das wohl niemand beantworten können Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 19. Mai 2010 Melden Teilen Geschrieben 19. Mai 2010 Wie waers wenn du die FW erst mal deaktivierst und schaust obs dann funktioniert? Dann muessen wir nicht orakeln woran es liegt :) Zitieren Link zu diesem Kommentar
rolandino 10 Geschrieben 19. Mai 2010 Autor Melden Teilen Geschrieben 19. Mai 2010 FW deaktivieren hat nix gebracht. Man kann "nur" 4000 Zeichen posten, deswegen hatte die FW-Konfi keinen Platz mehr. Aber daran liegts anscheinend nicht... Es hat irgendwas mit den Routemaps zu tun, aber ich komm einfach nicht drauf. Sobald ich die Routemap aus dem Inside-LAN-Interface (Vlan1) raus nehme, geht's VPN, aber dann läuft halt alles über Dialer1. Ich hab was gelesen, dass die VPN-Pakete nicht genatted werden dürfen, werd aber nicht schlau draus, wie's genau funktioniert, wie die ACLs dazu aussehen müssen. Jemand ne Idee? Zitieren Link zu diesem Kommentar
Otaku19 33 Geschrieben 20. Mai 2010 Melden Teilen Geschrieben 20. Mai 2010 die maps würden ja nur das routing beeinflussen, da du pingen kannst muss das aber passen. Das mit NAt und VPN vergiss mal wieder, das hat mit deinem Thema grade nichts zu tun Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 20. Mai 2010 Melden Teilen Geschrieben 20. Mai 2010 Kannst du bitte noch mal den aktuellen Part mit Route-Maps und entsprechenden ACLs und festen Routen posten? :) Zitieren Link zu diesem Kommentar
Otaku19 33 Geschrieben 20. Mai 2010 Melden Teilen Geschrieben 20. Mai 2010 oder einfach als attachment hochlandem bzw irgendwo halt hochladen und den link geben Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.